Tietokantalähtöisen PHP-ohjelmoinnin tietoturvaoptimointi
Pelttari, Martti (2010)
Pelttari, Martti
Hämeen ammattikorkeakoulu
2010
All rights reserved
Julkaisun pysyvä osoite on
https://urn.fi/URN:NBN:fi:amk-201003235881
https://urn.fi/URN:NBN:fi:amk-201003235881
Tiivistelmä
Toteutin opinnäytetyön Hämeen ammattikorkeakoulun Teknologiateollisuuden koulutus- ja tutkimuskeskuksen palkkalistoilla kesällä 2008. Työn aihe, tietokantalähtöisen PHP-ohjelmoinnin tietoturvaoptimointi lähti liikkeelle kahdesta tietokantavetoisesta projektista, jotka toteutettiin kesän aikana. Tämä työ ei niinkään ole sidoksissa näiden projektien lopputulokseen, vaan tarkoituksena oli kiinnittää erityistä huomiota tietoturvallisuuteen tämänkaltaisissa projekteissa.
Työn teoriaosuuden on tarkoitus olla yleispätevää koskien kaikkia PHP:lla toteutettuja tietokantasovelluksia. Työssä on käsitelty huomionarvoisia seikkoja tietoturvallisen sovellutuksen toteuttamisesta sekä vertailtu erilaisia työvälineitä ja toteuttamistapoja. Varsinainen suoritettu tutkimus alkoi vasta, kun kesälle määritellyt projektit olivat käyttövalmiina.
Suoritin tutkimusosion kokeilemalla erilaisia lähestymistapoja SQL-injektio, XSS ja CSRF -hyökkäyksiin. Tarkoituksena oli löytää konkreettisesti aukkoja toteuttamieni sivustojen tietoturvasta. Sen lisäksi, että työn tekemisen yhteydessä oppi uusia asioita tietoturvallisesta ohjelmoinnista, niin samalla kertyi huomattava määrä ymmärrystä siitä, miksi joitain asioita tehdään aina tietyllä tavalla.
Tämä työ on ennen kaikkea läpileikkaus Web-ohjelmoinnin tietoturvaratkaisuista ja vasta toiseksi ohje nimenomaiseen PHP -ohjelmointiin.
Työn teoriaosuuden on tarkoitus olla yleispätevää koskien kaikkia PHP:lla toteutettuja tietokantasovelluksia. Työssä on käsitelty huomionarvoisia seikkoja tietoturvallisen sovellutuksen toteuttamisesta sekä vertailtu erilaisia työvälineitä ja toteuttamistapoja. Varsinainen suoritettu tutkimus alkoi vasta, kun kesälle määritellyt projektit olivat käyttövalmiina.
Suoritin tutkimusosion kokeilemalla erilaisia lähestymistapoja SQL-injektio, XSS ja CSRF -hyökkäyksiin. Tarkoituksena oli löytää konkreettisesti aukkoja toteuttamieni sivustojen tietoturvasta. Sen lisäksi, että työn tekemisen yhteydessä oppi uusia asioita tietoturvallisesta ohjelmoinnista, niin samalla kertyi huomattava määrä ymmärrystä siitä, miksi joitain asioita tehdään aina tietyllä tavalla.
Tämä työ on ennen kaikkea läpileikkaus Web-ohjelmoinnin tietoturvaratkaisuista ja vasta toiseksi ohje nimenomaiseen PHP -ohjelmointiin.